今年最後の記事です。
最後はこの一年のサイバーセキュリティを振り返りたいと思います。IPA(独立行政法人情報処理推進機構)は、毎年、年のはじめにその年の10大脅威をランキング形式で発表しているのですが、実際の攻撃は、IPAの予想通りになるものもあれば、想定できない攻撃もあったと思います。
ここでは、今年の攻撃を5つの分野に分けて、攻撃の特徴を要約します。
ランサムウェアの深刻化と高止まり状態(IPA10大脅威1位)
IPAが「情報セキュリティ10大脅威2025」で組織向け脅威の1位に挙げたランサムウェア攻撃は、予測通り2025年も企業の事業継続に深刻な影響を与え続けました。アサヒグループホールディングスでは一部生産活動が停止し、150万件超の情報漏えいの可能性が公表されました。アスクルでも物流システム停止により、取引先や同業他社にまで影響が波及しました。
特に注目すべきは、復旧までに要する期間の長期化です。少し前の事例ですが、ユー・エス・ジェイ(USJ)やサントリーでは、発生から約6ヶ月後にようやく復旧が完了しました。これらの企業はEDR導入や国際基準に沿った対策を講じていましたが、侵入自体を防ぐことはできませんでした。
警察庁の統計では、感染経路の62%がVPN機器とされています。これは10大脅威3位の「システムの脆弱性を突いた攻撃」と、6位の「リモートワーク等の環境を狙った攻撃」が組み合わさった結果です。攻撃者はVPNの脆弱性から侵入し、パスワード管理の甘さを突いて管理者権限を奪取、ネットワーク全体を暗号化しました。
- ランサムウェア:データを暗号化し、復号と引き換えに金銭を要求するマルウェア
- IPA:独立行政法人情報処理推進機構
- EDR:端末の挙動を監視・検知・対応するセキュリティ対策
- VPN:社外から社内ネットワークへ安全に接続する仕組み
- 脆弱性:攻撃に悪用される欠陥や弱点
- 管理者権限:システム全体を操作できる強力な権限
サプライチェーン攻撃の横行とSaaS統合リスク(IPA10大脅威2位)
10大脅威2位の「サプライチェーンや委託先を狙った攻撃」は、2025年に最も被害が拡大した脅威でした。アタックサーフェス分析では、「他組織」経由の攻撃が最多となり、その大半が委託先を踏み台にした不正アクセスでした。
保険事故調査会社・審調社のランサムウェア被害では、業務委託先である30社以上の保険会社に影響が波及し、最終的に約10万件の個人情報漏えいが確認されました。また、AIデータ入力ツールを提供するローレルバンクマシンの事例では、同ツールを利用していた企業を経由し、金融機関や大学にまで多段的な被害が広がりました。
海外では、SaaS連携を悪用した攻撃が顕著でした。Salesloft社からOAuthトークンが窃取され、統合先であるSalesforce環境から情報が流出し、約700社に影響が及びました。さらにnpmでは、ワーム機能を持つマルウェアが拡散し、開発者エコシステム全体にリスクをもたらしました。
- サプライチェーン攻撃:取引先や委託先を経由する攻撃
- アタックサーフェス:攻撃の侵入口となり得る箇所
- SaaS:インターネット経由で利用するソフトウェア
- OAuthトークン:他サービスへのアクセス権を示す認証情報
- npm:JavaScript向けパッケージ管理システム
- マルウェア:悪意のあるソフトウェアの総称
認証情報窃取とソーシャルエンジニアリングの巧妙化(IPA10大脅威9位)
2025年は、人を起点とする攻撃が顕著に増加しました。3月以降に急増した証券会社での不正取引は、フィッシング詐欺(情報セキュリティ10大脅威 2025「個人」7年連続7回目)やインフォスティーラーによる認証情報窃取が原因で、CRM(顧客関係管理)システムに登録された顧客情報や取引履歴が攻撃の足がかりとして悪用されるケースも確認されています。4月には単月で約2,930億円の不正取引が発生しました。
攻撃者は乗っ取った口座で流動性の低い株式を売買し、相場操作による利益獲得を狙っていました。深刻なのは、被害者自身がフィッシング被害を自覚できていないケースが多く、CRM上の情報を通じて再び標的化されるなど、被害が再発しやすい点です。
さらに8月には、ITサポート担当を装った電話によるソーシャルエンジニアリング攻撃が流行しました。従業員に認証情報を聞き出したり、アプリ連携を許可させる手口に加え、BEC(ビジネスメール詐欺)と組み合わせて、経理担当や取引先になりすました不正送金指示が行われる事例も確認されました。これにより、カンタス航空やシャネルなどの大企業が被害に遭っています。技術的防御を回避し、「正規の権限」で侵入する点が特徴です。
- フィッシング詐欺:偽サイト等で情報を盗む手口
- インフォスティーラー:情報窃取を目的としたマルウェア
- CRM:顧客情報管理システム
- 認証情報:ID・パスワードなどのログイン情報
- ソーシャルエンジニアリング:人の心理を突く攻撃
- BEC:ビジネスメール詐欺
経営課題としての認識と業界全体の対策強化(IPA10大脅威4位)
2025年は、サイバーセキュリティが明確に「経営課題」として認識された年でした。アサヒグループのCEOは記者会見で経営層の関与の重要性を強調し、楽待では情報漏えいを受けて役員報酬の減額を発表しました。これらの背景には、特定企業や役職者を狙う標的型攻撃の高度化や、権限を持つ従業員による内部不正が、企業価値に直接的な影響を及ぼすリスクとして顕在化したことがあります。
証券会社の不正取引問題が社会的に注目されたことで、業界全体で多要素認証の必須化やパスキー導入が進みました。これは、外部からの標的型攻撃だけでなく、認証情報の悪用や内部不正による不正取引を抑止する狙いもあります。透明性のある情報公開が、結果として業界横断的なセキュリティ強化につながった好例です。
政府も、2026年度開始予定のサプライチェーン向けセキュリティ評価制度の整備を進めています。これは、取引先を踏み台にした標的型攻撃や、委託先を起点とする内部不正リスクを含め、組織境界を越えた対策を求める動きといえます。
- 標的型攻撃:特定組織を狙う攻撃
- 内部不正:内部関係者による不正行為
- 多要素認証:複数要素で本人確認する仕組み
- パスキー:生体認証等を用いた新しい認証方式
AI悪用の現実化と新たな脅威の台頭(IPA10大脅威7位)
2025年は、AIが攻撃を「高度化」するだけでなく「容易化」した年でした。生成AIを悪用して攻撃プログラムを作成した事例や、地政学的リスクを背景とした国家関連アクターによるAI活用が報告され、サイバー攻撃が国際情勢と強く結びつく傾向が一層鮮明になりました。
同時に、AIそのものを標的とする攻撃も増加しました。プロンプトインジェクションやデータポイズニングなど、AI特有の脆弱性が顕在化し、MCPサーバなどの外部ツール連携基盤を経由したアクセス制御不備や権限の過剰付与が、新たなサプライチェーンリスクとして指摘されています。こうした状況に対し、入力制御や出力制限を行うガードレール機能の重要性が認識されつつある一方、急速に普及するAI関連プロダクトに対して、セキュア開発や運用ルールの整備が追いついていない現実も浮き彫りになりました。
また、参議院選挙期間中、SNS上で偽情報・誤情報が急増し、有権者や政府関係者の間でAI生成コンテンツ(ディープフェイクなど)による世論操作の懸念が高まりました。これは国内問題にとどまらず、地政学的リスクの観点からも注視され、多くの事実確認が行われるとともに、ガードレール機能を備えた生成AIの利用指針や偽情報対策の強化が進められ、選挙プロセスの透明性や情報リテラシーへの対応が検討されました。
- 生成AI:文章や画像を生成するAI
- 地政学的リスク:国際情勢に起因するリスク
- プロンプトインジェクション:AIへの不正指示
- データポイズニング:学習データへの汚染
- MCPサーバ:AI連携のための仕組み
- ガードレール機能:AIの悪用防止策
- ディープフェイク:AIによる偽画像・動画
本年もお世話になりました。
紅白を見つつ一年の悪いことを忘れ、心機一転したいと思いつつ、サイバーセキュリティはそんな心の隙間を攻撃してきます。
皆さまが来年がよりよい一年であることを願ってます。
